AWS リスクおよびコンプライアンスプログラム
AWS は組織全体でリスクおよびコンプライアンスプログラムを統合しています。このプログラムは、サービスの設計とデプロイのすべての段階でリスクを管理し、組織のリスク関連活動を継続的に改善および再評価することを目的としています。AWS 統合型リスクおよびコンプライアンスプログラムの構成要素については、以下のセクションで詳しく説明します。
AWS ビジネスリスク管理
AWS にはビジネスリスク管理 (BRM) プログラムがあり、AWS の各部署と提携して、AWS の取締役会および AWS の上級管理職が AWS 全体の主要なリスクの全体像を把握できるようにしています。BRM プログラムは、AWS の機能に対する独立したリスク監督を行います。具体的には、BRM プログラムは以下を行います。
-
AWS の主要機能分野のリスク評価とリスクモニタリングを実施
-
リスクの特定と是正の推進
-
既知のリスクの登録の保守
リスクの是正を推進するために、BRM プログラムは取り組みの結果を報告し、必要に応じて事業全体のディレクターやバイスプレジデントにエスカレーションして、ビジネス上の意思決定を通知します。
業務管理と経営管理
AWS では、週、月、四半期ごとのミーティングとレポートを組み合わせて使用して報告し、とりわけ、リスク管理プロセスのすべての構成要素全体に確実にリスクを伝達しています。また、AWS はエスカレーションプロセスを導入して、組織全体で優先度の高いリスクを経営陣に可視化しています。これらの取り組みをまとめることで、AWS のビジネスモデルが複雑であっても、リスクが一貫して管理されるようになります。
さらに、連鎖的な責任体系により、バイスプレジデント (事業主) は事業の監督に責任を負います。このため、AWS は毎週ミーティングを実施して、運用メトリクスを確認し、ビジネスに影響が及ぶ前に主要な傾向とリスクを特定します。
役員とシニアリーダーは、AWS のカラーと中心的な価値を規定する際、重要な役割を担っています。各従業員には当社の業務行動倫理規定が配布され、従業員は定期的なトレーニングを受けます。制定されたポリシーの理解と遵守を従業員に徹底するために、コンプライアンス監査を実施します。
AWS の組織構造は、事業運営の計画、実行、統制のフレームワークを提供しています。この組織構造には役割と責任が含まれ、適切な人員配置、事業運営の効率化、そして職務の分離が可能となっています。さらに、主要人員に対する適切な報告体系も確立済みです。当社では従業員に対し、その職務と AWS 施設へのアクセスレベルに応じて、法律および規制が認める範囲での学歴、雇用歴、場合によっては経歴の検証を、採用手続きの一環として実施しています。新たに採用した従業員には体系的な入社時研修を行い、Amazon のツール、プロセス、システム、ポリシー、手順について熟知させます。
統制環境とオートメーション
AWS は、組織全体のリスクを管理する基本要素として、セキュリティコントロールを導入しています。AWS の統制環境は、AWS 全体で最低限のセキュリティ要件を実装するための基礎となる標準、プロセス、および構造で構成されています。
AWS の統制環境の一部として含まれるプロセスと標準は独立していますが、AWS は Amazon の全体統制環境の要素も活用しています。活用されるツールには次のようなものがあります。
-
職務の分担を管理するツールなど、Amazon のすべてのビジネスで使用されるツール
-
法務、人事、財務など、特定の Amazon 全体のビジネス機能
AWS が Amazon の全体的な統制環境を活用している場合、これらのメカニズムを管理する標準とプロセスは AWS のビジネスに特化して調整されます。つまり、AWS の統制環境内での使用と適用に対する期待事項は、Amazon 環境全体での使用と適用に対する期待事項とは異なる場合があります。AWS の統制環境は、最終的に AWS のサービスを安全に提供するための基盤として機能します。
統制のオートメーションは、AWS が統制環境を構成する特定の定期的なプロセスにおける人的介入を減らすための手段です。これは、効果的な情報セキュリティコントロールの実施とそれに伴うリスク管理の鍵となります。統制のオートメーションは、人間が繰り返しプロセスを実行すると必然的に発生する可能性のある、プロセス実行における潜在的な不整合を、予防的に最小限に抑えることを目指しています。統制のオートメーションにより、潜在的なプロセス偏差が排除されます。これにより、統制が設計どおりに適用されるという保証レベルが向上します。
AWS のエンジニアリングチームは、セキュリティ機能全体で AWS の統制環境をエンジニアリングし、可能なかぎり高いレベルの統制のオートメーションをサポートする責任を負っています。AWS で自動化された統制の例には、次のようなものがあります。
-
ガバナンスと監督: ポリシーのバージョニングと承認
-
人事管理: トレーニングの自動配信、従業員の迅速な解雇
-
開発と設定管理: コードデプロイパイプライン、コードスキャン、コードバックアップ、統合デプロイテスト
-
アイデンティティとアクセスの管理: 職務分離、アクセスレビュー、アクセス許可管理の自動化
-
モニタリングとロギング: 自動ログ収集と相関付け、アラーム
-
物理的セキュリティ: ハードウェア管理、データセンターセキュリティトレーニング、アクセスアラーム、物理アクセス管理など、AWS データセンターに関連するプロセスの自動化
-
スキャンとパッチ管理: 脆弱性スキャン、パッチ管理、デプロイの自動化
統制評価と継続的モニタリング
AWS では、AWS 環境内のリスクをさらに低減するために、サービスのデプロイの前後にさまざまなアクティビティを実施しています。これらのアクティビティでは、AWS の各サービスの設計および開発中にセキュリティとコンプライアンスの要件を組み込み、本番環境への移行 (ローンチ) 後にサービスが安全に稼働していることを検証します。
リスク管理とコンプライアンス活動には、2 つのローンチ前アクティビティと 2 つのローンチ後のアクティビティが含まれます。ローンチ前アクティビティは以下のとおりです。
-
AWS アプリケーションセキュリティリスク管理レビューにより、セキュリティリスクが特定され軽減されたことを検証
-
アーキテクチャ適性レビューにより、お客様がコンプライアンス体制との整合性を確保できるよう支援
サービスのデプロイ時には、AWS の高いセキュリティ基準を満たすために、詳細なセキュリティ要件に対する厳格な評価が実施されます。ローンチ後アクティビティは以下のとおりです。
-
AWS アプリケーションセキュリティの継続的なレビューにより、サービスのセキュリティ体制が維持されていることを確認
-
脆弱性管理の継続的なスキャン
これらの統制評価と継続的なモニタリングにより、規制対象のお客様は、AWS のサービス上でコンプライアンスに準拠したソリューションを自信を持って構築できます。さまざまなコンプライアンスプログラムの対象範囲に含まれるサービスのリストについては、AWS 対象範囲内のサービス
AWS 認定、プログラム、レポート、および第三者による証明
AWS は定期的に独立した第三者による認証監査を受け、制御活動が意図通りに機能していることを保証しています。具体的には、AWS は、地域や業界に依存するさまざまなグローバルおよびリージョンのセキュリティフレームワークに対して監査を受けています。AWS は 50 を超える監査プログラムに参加しています。
これらの監査の結果は評価機関によって文書化され、AWS Artifact
国または業界の現地の規制または契約上の要件によっては、AWS はお客様または政府の監査人と直接監査を受けることもあります。これらの監査により、AWS の統制環境をさらに監督し、お客様が AWS のサービスを使用して、自信を持って、コンプライアンスを遵守し、リスクベースの方法で運用するためのツールを確実に利用できるようになります。
AWS 認定プログラム、レポート、第三者認証の詳細については、「AWS コンプライアンスプログラム
CSA (クラウドセキュリティアライアンス)
AWS は、クラウドセキュリティアライアンス (CSA) Security, Trust & Assurance Registry (STAR) の自己評価に参加して、CSA が公表したベストプラクティスに準拠したコンプライアンスを文書化します。CSA
AWS が CSA CAIQ に沿っていることを文書化した 2 つのリソースをお客様にご利用いただけます。1 つ目は CSA CAIQ ホワイトペーパー
